Cybersecurity-Division der Telekom

Cyberangriffe simulieren, um sie zu bekämpfen

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Vernetze Industrieanlagen und kritische Infrastrukturen geben Anlass, über neue IT-Sicherheitskonzepte nachzudenken. Dazu gehört auch das Training von Unternehmensentscheidern weit über die IT-Abteilung hinaus.
Zugegeben, etwas plakativ ist es schon - doch wer einmal in ein Guy-Fawkes-Gesicht geblickt hat, weiß um die Bedrohung seiner Unternehmens-IT.
Zugegeben, etwas plakativ ist es schon - doch wer einmal in ein Guy-Fawkes-Gesicht geblickt hat, weiß um die Bedrohung seiner Unternehmens-IT.
Foto: Deutsche Telekom AG / Norbert Ittermann

Die Situation ist angespannt bis katastrophal. Minütlich gibt es neue Hiobsbotschaften. Zuerst ist es eine nicht identifizierbare E-Mail von angeblichen Anonymous-Aktivisten, die uns fünf Millionen Euro abpressen wollen, damit keine sensiblen Krebsforschungsdaten unseres Pharma-Giganten öffentlich werden. Dann stellt unser Rechenzentrumsleiter tatsächlich einen erhöhten Datenabfluss im Netzwerk fest und schließlich wird auch noch die Schranke zum Firmenparkplatz manipuliert. Die Eindringlinge könnten schon auf dem Gelände sein.

Als dann auch noch die ersten Krankenhauscomputer, die per Standleitung mit unserem soeben aus Sicherheitsgründen heruntergefahrenen RZ verbunden sind, abstürzen, ist Alarmstufe Rot angesagt. Kurz darauf schrillen im Bundesforschungsministerium die Alarmglocken, das Telefon auf unserem Vorstandsschreibtisch klingelt Sturm und unser Aktienkurs rauscht in den Keller. Es scheint an der Zeit, die Firmenanteile zu verkaufen und in die Karibik zu verschwinden...

Während der Simulation müssen die Manager schnelle Entscheidungen treffen.
Während der Simulation müssen die Manager schnelle Entscheidungen treffen.
Foto: Deutsche Telekom AG / Norbert Ittermann

Was sich liest wie ein zweitklassiger Cyberthriller aus Hollywood, ist eine Cyberangriffs-Simulation in der Zentrale der Deutschen Telekom in Bonn. Das dortige, im Aufbau befindliche Cybersecurity-Team hatte Ende Mai Journalisten aus ganz Deutschland eingeladen, sich mit der heutigen Bedrohungslandschaft auseinander zu setzen. Die Menge und Geschwindigkeit der Ereignisse, die für unser erfundenes Unternehmen ohne Umwege in die totale Katastrophe führen, ist absurd groß. Dennoch sind alle Teile der gespielten Krise für sich gesehen realistisch, weil bereits vorgekommen. Für die DAX-Vorstände, die immer häufiger entsprechende Übungen bei der Telekom anfragen, gilt es, schnelle Entscheidungen zu treffen. Wer keinen Notfall-Masterplan in der Schublade hat - was angesichts der Unvorhersehbarkeit vieler Ereignisse sowieso nur eingeschränkt möglich ist -, verliert durchaus schon einmal den Kopf.

Auch Experten handeln kopflos

Den Pressevertretern an diesem Vormittag geht es nicht anders. Obwohl seit Jahren mit IT-Sicherheitsthemen vertraut, werden im Eifer des Gefechts schon einmal E-Mail-Anhänge von nicht verifizierten Absendern geöffnet, weil sich darin angeblich die Lösung für dies oder das Problem auftut. Oder USB-Sticks von Unbekannten entgegen genommen und ohne Sicherheitsprüfung ins Firmennetz gelassen, weil dort ein vermeintlicher Patch für eine kritisch und bereits ausgenutzte Schwachstelle zu finden ist. Die Zeit drängt, die Kunden taumeln, die Mitarbeiter fürchten um Job, Geld, Ansehen und die öffentliche Kommunikation läuft aus dem Ruder.

Marco Gercke stellt die Unternehmen auf die Probe.
Marco Gercke stellt die Unternehmen auf die Probe.
Foto: privat

"Cyberangriffe bilden eine große Bandbreite ab - entsprechend müssen sich Unternehmen und deren Vorstände damit auseinandersetzen", erklärt Rechtsanwalt Marco Gercke, der sich als Direktor des Instituts für Medienstrafrecht in Köln täglich mit den Gefahren und Folgen der Cyberkriminalität beschäftigt. Er moderiert die Telekom-Simulationen. "Diese Übungen sollen zeigen, ob und wie sich Vorstände auf derartige Situationen vorbereiten. Was in der Vergangenheit eher eine Aufgabe für Systemadministratoren war, betrifft heute zunehmend die Führungskräfte - ähnlich wie beim Datenschutz, der sich auch immer stärker von der rein technischen Aufgabe zur Management-Aufgabe gewandelt hat", so Gercke weiter.

In erster Linie wolle man das Bewusstsein für die Gefahren schärfen und die Reaktion der Unternehmen prüfen. Aus diesem Grund seien die meisten Simulationen genau auf das zu prüfende Unternehmen zugeschnitten. Ein Expertenteam der Telekom schaue sich die Kandidaten genau an, identifiziere Schwachstellen in den bestehenden Strukturen und Arbeitsabläufen und entwickle daraus ein mögliches Bedrohungsszenario. Seltener seien Standardsimulationen mit fiktiven Unternehmen, die völlig ungeschützt agierten und von allen Szenarien betroffen sein könnten.

Gezielte Angriffe verlangen gezielte Teams

Thomas Tschersich steht dem IT-Sicherheitsbereich der Telekom vor.
Thomas Tschersich steht dem IT-Sicherheitsbereich der Telekom vor.
Foto: Deutsche Telekom AG / Norbert Ittermann

"Die Anfragen seitens der Kunden nach ganzheitlichen Sicherheitsprodukten und -dienstleistungen nehmen zu, nicht zuletzt wegen der Medienpräsenz des Themas", erklärt Thomas Tschersich, Bereichsleiter IT-Sicherheit bei der Telekom. Daraus entstand der Plan, die örtlich getrennten Security-Einheiten zu einem "virtuellen Team Cybersicherheit" zusammenzuziehen und unter anderem verstärkt Simulationsübungen anzubieten.

Warum die Nachfrage danach steigt, weiß auch Frank Melber, der beim TÜV Rheinland i-sec dem Bereich Daten- und Endgerätesicherheit leitet: "Die meisten Unternehmen und besonders auch Behörden stehen permanent unter Angriff - Webserver-Logs mit bis zu 10.000 versuchten Attacken täglich sind fast die Regel." Dabei handele es sich nicht nur um Zufallstreffer breit gestreuter Malware-Aussendungen - die Schrotgewehr-Methode verfolgt lediglich das Ziel, potenzielle Angriffsziele aufzuspüren, die eigentliche Attacke findet dann oft erst im zweiten Schritt statt. "Hat ein Unternehmen ein Advanced Malware Detection System implementiert, können wir zusehen, wie Malware-Attacken ablaufen und wie sich Malware, die es durch die klassischen Anti-Virus-Schutzsysteme geschafft hat, im Unternehmen ausbreitet", berichtet Melber.

Je komplexer, desto anfälliger

Marc Elsberg schaffte mit "Blackout" einen Bestseller.
Marc Elsberg schaffte mit "Blackout" einen Bestseller.
Foto: Clemens Lechner

Glücklicherweise sind die meisten Angriffe bei weitem (noch) nicht so massiv und umfangreich wie die eingangs beschriebenen. Die Zeichen mehren sich aber, dass aus dem unkontrollierbaren Horrorszenario Realität werden könnte. Gerade IT-Attacken auf Industrieanlagen wie Produktionssteuerungssysteme oder kritische Infrastrukturen wie intelligente Stromnetze (Smart Grids) sind spätestens seit dem Stuxnet-Vorfall im Sommer 2010 (Manipulierung von SCADA-Systemen in Atomanlagen durch staatlich entwickelte Trojaner) keine Science Fiction mehr. "Das Problem ist, dass wir unsere Systeme selbst nicht mehr verstehen - werden diese dann miteinander vernetzt, potenzieren sich die Komplexität und die Gefahr noch einmal", stellt Marc Elsberg fest. Der Autor beschreibt in seinem Bestseller "Blackout" die schlimmstanzunehmenden Folgen eines großflächigen Stromausfalls in Europa - mehr als eindringlich.

Sichere Industrie 4.0

Daniel Hamburg sieht Sicherheitsfragen noch nicht im 'deutschen Mittelstandsbauch' angekommen.
Daniel Hamburg sieht Sicherheitsfragen noch nicht im 'deutschen Mittelstandsbauch' angekommen.
Foto: TÜV Rheinland i-sec

"Die Vernetzung industrieller Systeme mit dem Internet ist noch zu wenig auf dem Radar der Produktionsleiter - und wenn, dann nur in den Großkonzernen", so Daniel Hamburg, Head of Security Engineering bei TÜV Rheinland i-sec. Zudem sei die Sprache zwischen IT-Sicherheitsexperten und Ingenieuren nicht dieselbe, entsprechend das Bewusstsein für die Bedrohungen nicht da. Was jahrzehntelang ausschließlich ein Problem für die IT-Wirtschaft darstellte, greift nun in andere Industriebereiche über, ohne dass die dort Beschäftigten davon etwas zu merken scheinen. "Der Baggerfahrer ist der Terrorist des Alltags", weist Elsberg beispeislweise augenzwinkernd auf die Gefahren durch versehentlich durchtrennte Erdkabel hin. Er unterstreicht damit, dass die gefährlichsten Sicherheitsrisiken in IT-Systemen schon längst nicht mehr nur durch absichtliche Manipulation herbeigeführt und ausgenutzt werden. Selbes gilt für den Umgang mit Unternehmensdaten, wie die TechConsult-Marktanalyse "Industrie 4.0 - Vernetzung braucht IT-Sicherheit" zu Tage fördert: Besonders dem deutschen Mittelstand treibt die Angst vor Fehlverhalten und leichtfertigem Umgang der Mitarbeiter mit Daten die Sorgenfalten auf die Stirn.

Sich der Bedrohung nur bewusst zu werden, genügt jedoch nicht. "Sicherheit muss beim Design der Infrastruktur und des Systems mitgedacht werden", fordert Elsberg. Die Idee ist nicht neu, hat dank des aktuellen Hypes in der IT-Welt um den Begriff "Industrie 4.0" aber eine größere Chance auf Umsetzung als jemals zuvor. Die vierte industrielle Revolution nach Dampfmaschine, Fließband und programmierbarer Steuerung dreht sich schließlich um die Informatisierung der klassischen Industrien und damit um den finalen Brückenschlag zwischen IT und Produktion. Viele Experten hoffen, dass so auch der Bereich IT-Sicherheit in der Industrie bald einen ähnlich wichtigen Stellenwert einnnehmen wird wie klassische Sicherheitsaspekte.

Neue Standards?

"Wir müssen neue Protokolle und Standards schaffen, die Sicherheit voraussetzen", betonte der Forschungsleiter von ThyssenKrupp, Reinhold Achatz, jüngst auf dem 13. IT-Security-Kongress des Bundesamts für Sicherheit in der Informationstechnik (BSI). Nur dann sei die Idealvorstellung "Security by Design" realistisch. Einige Politiker hoffen sogar, dass der Wirtschaftsstandort Deutschland mit neuen Standards der sicheren Entwicklung einen Schub erfährt und "IT-Security made in Germany" als elementarer Bestandteil von Produkten und Maschinen zum Exportschlager wird. Der Weg bis dahin ist aber noch lang. Zunächst werkeln Konzerne wie die Telekom weiter an der Bewusstseinsschärfung aller Beteiligten.

Lesen Sie auch unser Interview mit Professor Marco Gercke über die Motivation der Deutschen Telekom, diese Art Cyberangriffe zu simulieren, den Willen zur Zusammenarbeit zwischen Unternehmen und Politik in Security-Fragen, eine mögliche verbindliche Meldepflicht bei Datenverlusten und den Nachwuchsmangel im IT-Sicherheitsbereich.